情報の盗難と情報への不正アクセスは、知的財産の損失、顧客プライバシーの侵害、会社の評判の低下、法規制違反といった不利益を企業にもたらします。

次のステップ

電子情報の盗難や不正アクセスは、外部からの侵入者よりも、内部の人間によって行われる場合が多いことに注意してください。その動機は産業スパイ、恐喝、組織犯罪、破壊行為、報復、愉快犯などが考えられます。

この危険性は、ますます高まっています。米国を対象とした 2006 年度の CSI/FBI 調査によると、情報の盗難は、2005 年に報告された経済的損失原因の第 4 位に挙がっています。また調査対象の 41% の企業が、情報の盗難または情報の不正アクセス事件を報告しています。

データは保管中、送信中、処理中でも盗難にあうおそれがあります。

  • 保管中のデータを盗む場合、攻撃者はデータをリムーバブル メディアにコピーしたり、セキュリティが施されていない他のデバイスに送信したり、ホスト システムのセキュリティが最も薄いときにホスト システムに侵入したりすることが考えられます。
  • 送信中のデータを盗む場合、侵入者は「man in the middle」ツールを使用して、パスワード、顧客のクレジットカード情報、音声会話など機密性の高い情報を傍受することがあります。
  • 処理中のデータを盗む場合、攻撃者はデスクトップにひそかにインストールしたスパイウェアを使用して、入力された情報を収集します。


情報の保護

最初のステップは、保護する情報の種類に関連するリスクを識別することです。次のステップは、管理上、物理的、および技術的制御を考慮し、それらのリスク分類に適切に対応付けられたセキュリティ ポリシーを定義して実装することです。

情報を盗むために利用される手段は多様なので、1 つの防御ソリューションや 1 か所の防御ポイントだけでは対応しきれません。むしろ、企業は「境界」が脆弱性の 1 つのポイントにすぎないことを考慮して、常に情報を保護するために多層的な戦略を必要としています。

リスク管理戦略の開発

IT リスク管理戦略を開発または改良する場合、IT グループは次の 3 つの重要なセキュリティ適用ポイントを考慮してください。

インターネット利用の保護

  • ウイルス、ワーム、およびトロイの木馬の感染や実行からリソースを保護します。
  • ユーザのクレデンシャルやシステム セキュリティ ポスチャを検証します。
  • 特定のアプリケーションまたは他のシステム リソースへのユーザ アクセスを制御します。
  • エンドポイント セキュリティ ポリシーの適用によって、信頼できるコンピュータからインフラストラクチャに脅威が侵入するのを阻止します。


攻撃および侵入の防御

  • 機密性の高い情報を含むサーバおよびアプリケーションへのアクセスを制御します。
  • アプリケーションおよびユーザ データ送信をアプリケーション アクセス規則およびプロトコルに確実に適合させます。
  • エンド システムの脆弱性を悪用する試みがないか通信を監視します。
  • サーバ、データベース、およびアプリケーションへの侵入を防止します。


リモート アクセス

  • リモート ユーザ、ブランチ サイト、パートナー、および契約業者から企業資産へのアクセスを制御します。
  • 厳格な認証と暗号化を適用する VPN を使用してクレデンシャルを確実に検証し、通信が確実に保護されるようにします。
  • 信頼できるサイトからのアクセスを信頼できるユーザとデバイスのみに制限し、不正ユーザによるゲートウェイ VPN 経由の不正アクセスを防止します。


特殊な考慮事項

企業が特に注意して防御する必要があるのは、ワイヤレス ネットワーク、ストレージエリア ネットワーク、および IP テレフォニーの 3 つです。

  • ワイヤレス ネットワーク:不正アクセス、侵入者、およびネットワーク攻撃から保護します。WPA および WPA2 セキュリティ プロトコルをすべてのエンタープライズクラスの WLAN に展開できない場合、有線ネットワークとワイヤレス ネットワークの両方が危険な状態になります。
  • ストレージ エリア ネットワーク:管理アクセス制御と、サーバおよびストレージアレイ アクセス制御の両方を実装します。つまり、SAN アクセスを信頼できるデバイスに限定し、データの完全性と機密性を保つために送信データを暗号化します。
  • IP テレフォニー:会話のスヌーピング、IP フォンまたは IP サーバの内部 IP アドレスの漏えい、および IP フォンのパスワードの盗難を防止します。